СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыОбучениеВакансии
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Реклама Политика ПДн
Блоги
МУЛЬТИФАКТОР
24 декабря
#ИБ#Инфра

Служба каталогов MULTIDIRECTORY: итоги 2025 года

Служба каталогов MULTIDIRECTORY: итоги 2025 года

В 2025 году служба каталогов MULTIDIRECTORY (MD) прошла значительный путь развития: было внедрено много новых и полезных функций, направленных на повышение удобства пользователей, улучшение производительности и расширение функциональных возможностей продукта.

Мы подготовили для вас подробный обзор со всеми ключевыми изменениями, произошедшими в MULTIDIRECTORY в течение этого года.

Рассказываем более подробно.

Внедрение двухфакторной аутентификации (2FA) в Kerberos

Для повышения уровня защиты учётных записей пользователей в службе каталогов MULTIDIRECTORY появилась интеграция с двухфакторной аутентификацией (2FA) в протоколе Kerberos.

Как это работает: при проверке подлинности пользователя Kerberos отправляет запрос в систему двухфакторной аутентификации MULTIFACTOR, которая уже интегрирована в MULTIDIRECTORY. Если второй фактор успешно пройден, система стандартным образом генерирует и передаёт пользователю соответствующий тикет. Пользователи MULTIDIRECTORY могут подтвердить получение TGT-тикетов с помощью push-уведомлений.

Важно отметить, что сервер самостоятельно обрабатывает всю логику проверки и отправки уведомлений, поэтому процесс развёртывания решения прост, и не требуются дополнительные затраты на обслуживание.

2FA в Kerberos помогает усилить защиту корпоративных ресурсов, ведь даже в случае утечки основного пароля злоумышленнику потребуется пройти дополнительную проверку вторым фактором.

Режим ByPass

Появился режим ByPass. Он обеспечивает бесперебойный доступ сотрудников к ресурсам в случаях временной недоступности облачного сервиса MULTIFACTOR, проверяя как сетевую доступность, так и функциональность самой системы двухфакторной аутентификации.

Гибкое управление сетевыми политиками безопасности

Расширены настройки сетевых политик безопасности: администратор имеет полный контроль над доступом и ограничениями для конкретных пользователей и служб.

Он может выбирать протокол, к которому применяется политика безопасности, и детально настраивать использование двухфакторной аутентификации (2FA) применительно к определённым группам пользователей:

— HTTP (авторизация в административной панели через веб-интерфейс); — LDAP (аутентификационные запросы по протоколу LDAP); — Kerberos (запросы на выдачу билетов TGT).

Выход Enterprise-версии MULTIDIRECTORY

В 2025 году вышла Enterprise-версия службы каталогов MULTIDIRECTORY с официальным техническим сопровождением от вендора. Новая редакция имеет расширенный набор функциональных возможностей и позволяет организациям эффективно управлять инфраструктурой любых размеров благодаря дополнительным инструментам администрирования.

Постепенно Enterprise-версия будет пополняться новыми функциями, которые способствуют быстрому и бесшовному переходу с Microsoft Active Directory. За всеми изменениями следите на нашем сайте.

Включение Enterprise-версии MULTIDIRECTORY в реестр отечественного ПО

Служба каталогов MULTIDIRECTORY, предназначенная для централизованного хранения данных и управления информацией о пользователях, группах и ресурсах, была включена в Реестр российского программного обеспечения.

Получение такого статуса подтверждает высокий уровень качества и надёжности продукта, а также подчеркивает его соответствие требованиям отечественного рынка и стандартов информационной безопасности.

Расширение схемы домена

Начиная с версии 2.2.0, пользователи могут расширять схему домена новыми атрибутами объектов. К примеру, можно добавить поля вроде «Номер пропуска сотрудника», «Уровень материальной ответственности» или «Расположение техники». Эта функция помогает адаптировать каталог под индивидуальные потребности бизнеса и позволяет создавать детальные отчёты, используя дополнительный объём собранных сведений.

Управление условными зонами пересылки (Conditional Forwarders) для DNS-сервера

В MD реализована настройка условий пересылки DNS-запросов (DNS Conditional Forwarders). Эта опция обеспечивает правильное преобразование имён между доверительными доменами, позволяя серверам и службам одного домена успешно обращаться к ресурсам другого домена по их DNS-именам. Правильное разрешение DNS — необходимое условие для стабильной работы механизмов аутентификации Kerberos и обработки LDAP-запросов между взаимосвязанными доменами.

Управление сессиями пользователей

Появилась новая функция мониторинга пользовательских сессий, направленная на повышение эффективности взаимодействия с каталогом. Системный администратор может отслеживать активность подключений по разным протоколам (LDAP, HTTP), оперативно анализировать внутренние процессы каталога и своевременно обнаруживать потенциальные угрозы и аномалии.

Журналирование событий в Syslog

Служба каталогов MULTIDIRECTORY начала передавать сведения о действиях и событиях пользователей в систему Syslog. Данная мера упростит мониторинг и анализ защищённости инфраструктуры, обеспечит возможность консолидации журналов событий из разных источников и даст администраторам полный обзор текущих процессов.

Гибкая ролевая модель

Благодаря гибкости ролевой модели администраторы могут формировать иерархии прав доступа, рационально распределяя полномочия сотрудников. Пользовательские роли можно настроить под конкретные обязанности каждого работника — это повышает контроль над корпоративными бизнес-процессами.
Расширен функционал ролевой модели. Ранее доступ к административному интерфейсу и полный набор прав были доступны исключительно членам группы Domain Admins. А сейчас появилась возможность самостоятельно формировать роли с индивидуальными правами доступа.

Это нововведение упрощает делегирование полномочий различным сотрудникам, предоставляет удобный инструмент назначения нужных уровней доступа к панели администратора в MULTIDIRECTORY и способствует улучшению контроля над действиями персонала.

Групповые политики

В MD были добавлены «групповые политики». Групповые политики позволяют компаниям централизованно и эффективно управлять корпоративными ресурсами. Вместо ручной конфигурации отдельных устройств, администраторы могут устанавливать общие правила и настройки сразу для целых групп пользователей или компьютеров.

Отметим, что на сегодняшний день в MULTIDIRECTORY групповые политики применяются исключительно к компьютерам. Однако в 2026 году мы планируем реализовать данную функциональность и для пользователей.

Проверка на последнего пользователя в группе «Domain Admins»

Эта функция служит защитой от непреднамеренного удаления единственного оставшегося администратора домена.

До недавнего времени существовала вероятность того, что администратор MULTIDIRECTORY мог нечаянно убрать самого себя или последнего представителя группы администраторов, заблокировав доступ ИТ-персоналу к управлению службой каталогов.

Сейчас система автоматически предотвращает исключение последнего участника из группы администраторов домена. Когда группа сокращается до одного сотрудника, никто, даже сам администратор, не сможет исключить его из состава группы.

Добавлены операции побитового «И» и «ИЛИ» для фильтра «Search request»

Была улучшена эффективность выполнения запросов благодаря внедрению новых логических операторов (AND, OR) в системе фильтрации поиска. Данные изменения способствуют оптимизации работы службы каталогов и ускорению обработки сложных критериев отбора.

Уменьшено время жизни LDAP-сессии в момент сброса/смены пароля пользователя

Продолжительность LDAP-сессии сокращена в момент сброса/смены пароля. Эта функциональность направлена на усиление защиты данных и минимизацию временных интервалов, необходимых для обновления статуса учётных записей.

Добавлен DHCP-сервер

Служба каталогов MULTIDIRECTORY теперь оснащена собственным встроенным DHCP-сервером, который выполняет автоматическое распределение IP-адресов и прочих настроек (маски подсети, шлюза по умолчанию, DNS-сервера и др.) среди устройств внутренней сети. DHCP-сервер упрощает процесс управления сетью, повышает удобство эксплуатации и улучшает контроль над внутренними сетевыми ресурсами.

Выполнен переход на новую базовую ОС в Docker-контейнерах

Мы завершили успешную миграцию нашей инфраструктуры контейнеризации Docker с Debian на Alpine Linux. Основной причиной для смены операционной системы стало преимущество Alpine Linux: её малый размер, отсутствие ненужных компонентов и экономичное использование ресурсов.

Реализовано двусторонее доверие типа «Realm» и одностороннее доверие LDAP(S)-Forward

MULTIDIRECTORY теперь поддерживает двустороннее доверие типа «Realm» и возможность одностороннего проксирования запросов «LDAP-Forward». Эти функции гарантируют правильную работу доверительных связей между доменами, обеспечивая высокую надёжность процессов аутентификации и авторизации пользователей.

Помимо этого, появилась опция загрузки корневых сертификатов для организации безопасного LDAPS-соединения при установке режима одностороннего доверительного взаимодействия по типу LDAP-Forward. Такая конфигурация даёт возможность предприятию надёжно подключаться к внешнему сервису каталогов либо стороннему домену посредством шифрования запросов аутентификации и авторизации, передаваемых между серверами.

Политика паролей

Для повышения уровня безопасности в службе каталогов MULTIDIRECTORY мы ввели дополнительные требования к политике паролей, точнее — расширили их ограничения.

Сейчас действуют более строгие правила, которые касаются минимальной длины и периодичности смены пароля, а также исключают повторное использование старых комбинаций.

Особое внимание уделено внедрению функции блокировки конкретных паролей. Каждая организация имеет возможность создать собственный перечень запрещённых вариантов, предотвращающих применение пользователями легко угадываемых комбинаций либо ранее утёкших в сеть паролей.

Также реализован механизм временного отключения доступа при многократном неверном вводе пароля. Это сделано с целью защиты от брутфорс-атаки. Алгоритм предусматривает ограничение числа ошибочных попыток входа в течение фиксированного периода времени. Настройки механизма блокировки настраиваются индивидуально администратором, например, возможна блокировка доступа на 10 минут после четырёх подряд неудачных попыток аутентификации.

Ещё одно улучшение в разделе «Политика паролей», которое стоит выделить: теперь пользователи могут устанавливать индивидуальные правила формирования паролей для разных категорий пользователей. Новая функция улучшает уровень безопасности благодаря введению специальных требований к длине, сложности паролей и частоте их обновления, настроенных для конкретных категорий пользователей.

Заключение

В 2025 году служба каталогов MULTIDIRECTORY претерпела ряд изменений и значимых улучшений. Современная архитектура, новые механизмы безопасности и широкие функциональные возможности — всё это делает продукт незаменимым инструментом для эффективной работы предприятий любого масштаба.

План развития на 2026 год намечен. Мы продолжим разрабатывать и совершенствовать MULTIDIRECTORY, чтобы отечественные компании смогли быстро и комфортно мигрировать с Active Directory.

МУЛЬТИФАКТОР
Автор: МУЛЬТИФАКТОР
МУЛЬТИФАКТОР — российский разработчик и поставщик решений для обеспечения информационной безопасности. Компания соответствует требованиям международного стандарта PCI DSS. В продуктовом портфеле компании: 🔹 MULTIFACTOR — система многофакторной аутентификации и контроля доступа для всех видов удаленного подключения. Решение включено в реестр российского ПО. 🔹 MultiDirectory — российский бесплатный LDAP-каталог с открытым исходным кодом и свободной лицензией. 🔹 Pushed — решение для отправки и автоматизации push-сообщений на любые платформы. Простая интеграция. Круглосуточная поддержка. Мощная альтернатива Firebase Cloud Messaging.
Комментарии: